Kişisel Verileri Korumu Kurumu 15 Şubat 2022 tarihinde "Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirler Hakkında Kamuoyu Duyurusu" başlıklı duyurusunu internet sitesinde yayınladı.

Kurumun duyurusunu ve değerlendirmemizi aşağıda paylaşıyoruz.

Değerlendirmemizi yaparken özellikle Kişisel Verileri Koruma Kurulunun "kimlik doldurma" (credential stuffing) saldırılarına karşı yaklaşımı ile ilgili üç önemli kararını da inceleyeceğiz.

1. Duyuru kimi ilgilendiriyor?

Bu duyuru hesap bilgileriyle (kullanıcı adı ve şifresi) giriş özelliği bulunan tüm internet sitesi ve (uygun olduğu ölçüde) mobil uygulama işletenleri ilgilendiriyor.

2. Kurum neden böyle bir duyuru yapılma gereği duydu?

Bu duyuru öncesinde Kurum,

  • kullanıcı hesaplarına ait bilgilerin giriş bilgilerinin (kullanıcı adı ve şifrelerin) bazı internet sitelerinde herkese açık şekilde yayınlandığını ve böylece söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği ve
  • veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak son kullanıcıdan elde edilen kişisel verilerin hukuka aykırı bir şekilde paylaşabildiğini ve ekonomik bir değer karşılığında satışa sunulabildiğini,
  • ayrıca ilgili kişilere ait bu verilerin elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabildiğini tespit etmiştir.
  • Kurum bu doğrultuda alınması gereken teknik ve idari önlemler konusunda bir tavsiye listesi paylaşmıştır.

3. Kurumun bu tür veri ihlallerinin nedeni olarak gördüğü temel eksiklikler nelerdir?

Kurum bu tür veri ihlallerinin oluşmasına neden olan temel teknik ve idari tedbir eksiklikleri:

  • aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması,
  • belirli zaman aralıklarında parola değişiminin yapılmaması ve
  • iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması olarak örneklendirilmiştir.

4. Kurumun alınmasını tavsiye ettiği teknik ve idari tedbirler nelerdir?

  • Kurumu internet sitesi ve (uygun olduğu ölçüde) mobil uygulama işletenler tarafından alınmasını tavsiye ettiği teknik ve idari önlemler şunlardır:
    • Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerinin kurulması ve kullanıcılara üyelik başvurusu aşamasından itibaren "alternatif" güvenlik önlemi olarak bu sistemlerin sunulması,
    • Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/SMS vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
    • Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
    • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
    • IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
    • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
    • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
    • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
    • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
    • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
    • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması vb.

5. Değerlendirmemiz

a) Bu önlemler gerçekten "tavsiye" niteliğinde midir?

Bilindiği gibi Kurul, rehberler ya da duyurular yoluyla paylaştığı "tavsiye" niteliğindeki önlemlerin alınmaması halinde veri sorumlularına ceza vermekten kaçınmıyor.

Bu yaklaşımı en çok "veri ihlalleri"nde görülüyor.

b) Çarpıcı bir örnek: Kurulun "kimlik bilgisi doldurma saldırılarını"na (credential stuffing) yaklaşımı

Öncelikle "kimlik bilgisi doldurma saldırılarını" (credential stuffing) ne olduğunu kısaca hatırlatalım:

Bu saldırılar saldırganın başka bir veri tabanından (ihlale uğramış başla bir internet sitesi vb.) ele geçirdiği kullanıcı ismi ve şifre kombinasyonlarını, saldırmak için belirlediği internet sitesinde (genelde bot yazılımlar yardımıyla) denemesi ile meydana gelmektedir.

Bu saldırı bir kullanıcının, birçok internet sitesinde aynı isim ve şifre kombinasyonunu kullanması nedeniyle başarıya ulaşabilir.

Bu saldırının klasik bir parola saldırısından (brute-force attack) farklı ise bir kere başarısız olan bir isim ve şifre kombinasyonun defalarca denenmemesidir. Dolayısıyla tespiti zordur. Tespiti için özel güvenlik yazılımlarına ihtiyaç vardır.

Uygulamada "kimlik bilgisi doldurma saldırıları" (credential stuffing) ile verilerin ele geçirilme hallerine, bazen veri sorumluları tarafından "sızıntının kendilerinden kaynaklanmadığı" gerekçesiyle, bunun bir veri ihlali olup olmadığı konusunda şüpheci bir yaklaşım sergilediği görülmektedir.

Fakat Kurulun bu saldırıları

  • öncelikle bir veri ihlali olarak kabul ettiği ve
  • bunların önlenmesine ilişkin önlemlerin alınmaması nedeniyle ceza verdiği bu vesileyle belirtelim.

Nitelim Kurulun bu konuda kamuoyu ile özetini paylaştığı ve ceza vermiş olduğu üç önemli kararı vardır.

Karar Ceza Tutarı

Bir oyuncak perakendecisi veri sorumlusunun internet sitesinde başka internet sitelerinden elde edilmiş olan kullanıcı adı ve şifrelerin denenmesi yoluyla, 29 kişinin kullanıcı hesabına yetkisiz erişim gerçekleştirilmiştir.

Kurul, veri sorumlusunun veri güvenliğini sağlamaya yönelik gerekli teknik tedbirleri almadığını, veri sorumlusu tarafından müşterilerinin güçlü şifre oluşturulması için zorlanmadığına karar vermiştir.

Karar linki: https://kvkk.gov.tr/Icerik/7016/-2020-567

 75.000 TL

Bir e-ticaret şirketinin internet sitesinde, robot bir uygulama aracılığıyla internette ifşa olmuş e-posta ve şifreler denenerek 832 kişinin kişisel verilerine yetkisiz erişim sağlanmıştır.

Kurul, her ne kadar e-posta adresi ve şifre verileri veri sorumlusunun internet sitesi üzerinden ele geçirilmiş olmasa da kullanıcıların hesaplarına yetkisiz kişilerce erişimde bulunulduğu, böylece kişisel verilerin gizliliğinin bozulduğu, veri sorumlusunun aynı IP adresinden hatalı giriş sayısını sınırlandırmadığı, alabileceği başkaca önlemleri de almadığı ve bu sebeple ihlalin gerçekleşmesinin önüne geçebilmek adına yeterli güvenlik önlemlerinin alınmadığı, tedbirlerin alınmamasının ciddi bir risk taşıdığına karar vermiştir.

Karar linki: https://kvkk.gov.tr/Icerik/7017/2020-715

 165.000 TL

Kişisel bakım sektöründe faaliyet yürüten veri sorumlusunun internet sitesi kullanıcılarına e-posta adresi ve şifre bilgilerinin ele geçirildiğine dair mesaj gelmiş ve yapılan inceleme sonucunda veri sorumlusu kendi kullanımındaki veri tabanların bir veri sızıntısı olmadığını tespit etmiştir.

Üyelere ait e-posta adreslerinin dış kaynaktan ele geçirilerek ve üçüncü şahıslar tarafından şifre denemesi yapılarak zafiyet gerçekleşmiştir.

Kurul, veri sorumlusunun kendi olağan trafiğine ek olarak yapılan 500.000'in üzerinde e-posta/şifre kombinasyonuna ilişkin deneme trafiğini çeşitli belirtilere rağmen fark etmemesi sebebiyle bilişim ağlarının izlenmesi ve olmaması gereken durumların fark edilmesi hususunda eksiklik olduğuna karar vermiştir.

Karar linki: https://kvkk.gov.tr/Icerik/7029/-2020-421

 210.000 TL


Gerçekten de Kurumun duyuruda bahsettiği ihlallerin temel nedenlerinin başında "aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması"nı belirtmesi dikkat çekicidir.

Zira bu, bir "kimlik bilgisi doldurma saldırısının" (credential stuffing) başarılı olması için temel şarttır.

Dolayısıyla Kurulun bu tavsiyeleri verirken "kimlik bilgisi doldurma saldırısının" (credential stuffing) da dikkate aldığı açıktır.

c) Tavsiyemiz

Yukarıdaki açıklamalarımız ve Kurulun vermiş olduğu kararlar ışığında, her ne kadar Kurum duyuruda belirttiği önlemlerin "tavsiye" niteliğinde olduğunu belirtse de bir veri ihlali halinde bu önlemlerin alınmamış olmasının, veri sorumlusuna para cezası verilmesine dayanak teşkil edeceği görüşündeyiz.

Dolayısıyla internet sitesi işleten veri sorumlularının bütçeleri elverdiği ölçüde duyuruda belirtilen önlemleri almaları uygun olacaktır.

Her ne kadar Kurul bu önlemlerin internet siteleri için alınması gerektiğini belirtmiş olsa da (ve gerçekten bu saldırılar çok büyük ölçüde internet sitelerine yönelik olsa da) uygun olduğu ölçüde aynı önlemlerin mobil uygulama için de alınmasını da tavsiye ederiz.

Duyurunun tam metnine buradan ulaşabilirsiniz: https://kvkk.gov.tr/Icerik/7177/Kullanici-Guvenligine-Iliskin-Veri-Sorumlulari-Tarafindan-Alinmasi-Tavsiye-Edilen-Teknik-ve-Idari-Tedbirlere-Iliskin-Kamuoyu-Duyurusu

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.